3-5：网络安全协议-网络管理协议.ppt

1 Internet安全体系 网络管理协议 2 网络管理协议 网络管理协议 应用层协议支持配置管理 审计和事件记录等管理功能 并且为诊断网络问题提供了工具包括工作站 服务器 网卡 路由器 网桥和集线器等构成网络的硬件设备的管理 3 网络管理协议 InternetSNMP Internet网络管理协议的标准TCP IP协议族的一部分SNMP设计时的目标 功能简单化易扩充性结构独立性健壮性 4 网络管理协议 InternetSNMP SNMP体系结构模型 5 为什么要使用管理代理 6 网络管理协议 InternetSNMP 管理信息库MIB通过网络管理协议可以访问的信息使用一个层次型 结构化的形式管理站通过检索MIB目标的值来实现监视任务 通过改变特定对象的值来改变管理代理的配置 7 网络管理协议 InternetSNMP 管理站充当网络管理人员进入网络系统的接口 监视和控制网络与在不同的被管理节点中的代理通信 并且显示这些代理状态的中心设备 管理数据分析 故障恢复等的应用程序集把网络管理人员的要求转换为对网络中远程要素实际监视和控制 8 网络管理协议 InternetSNMP 管理站和管理代理通过网络管理协议进行联接 协议主要包括功能 GetSetNotify IP UDP SNMP管理器 网络相关协议 管理应用程序 GetRequest GetNextRequest SetRequest GetResponse Trap IP UDP SNMP代理 网络相关协议 SNMP管理对象 GetRequest GetNextRequest SetRequest GetResponse Trap 管理资源 SNMP管理站 SNMP代理 应用管理对象 SNMP消息 网络或因特网 SNMP协议与其它协议之间的关系 10 SNMPv1的安全特征代理对MIB的控制身份认证服务访问策略代理服务共同体和共同体名称 SNMPv1 11 SNMPv1 认证服务只为认证提供普通的方案 从管理器到代理的每条消息 获取或发送请求 都包括一个共同体的名称 该名称作为口令 如果发送方知道口令 该条消息就被确认是可信的 12 SNMPv1 访问策略访问控制有两个方面的内容 1 SNMPMIB视图 MIB中对象的子集为每个共同体定义不同的MIB视图视图中的对象集合不需要属于MIB的单个子树2 SNMP访问模式 READ ONLY READ WRITE每个共同体中都定义了访问模式 13 SNMPv1 SNMPv1的不足缺乏对分布式网络管理的支持 不支持管理站 管理站之间的通信 它不允许一个管理系统去了解由另一个管理系统管理的设备和网络的状况 功能缺陷 基于一种主动轮询的监视机制 轮询间隔短时对网络性能影响很大 不适合大规模的网络管理 安全缺陷 14 SNMPv1 SNMPv1的安全缺陷欺骗修改信息信息泄漏 15 SNMPv2 分布式网络管理 16 SNMPv2 SNMPv2功能的改进增加了两条新命令InformGetBulk 17 SNMPv3 18 SNMPv3的安全特征SNMPv3不是独立的取代SNMPv1或SNMPv2的协议 定义为一种安全能力而与SNMPv2或SNMPv1联合使用 SNMPv3可以被看成是附加了安全和管理能力的SNMPv2 RFC2570到2575描述了整体的SNMPv3 SNMPv3 19 SNMP协议体系结构 IP UDP 消息处理SNMPv3USM PDU处理 SNMPv1SNMPv2 SNMPPDU V3 MH UDP H IP H V3 MH SNMPPDU UDP H V3 MH SNMPPDU SNMPPDU 20 SNMPv3 SNMP体系结构SNMP实体实体是代理 管理器或两者的结合每个SNMP实体包括一个单独的SNMP引擎SNMP引擎SNMP引擎实现发送和接收消息的功能 认证和加密解密消息 控制对管理对象的访问SNMP引擎和所支持的应用程序都是定义成离散模块的集合 21 典型SNMP管理器命令生成器程序通知始发器程序通知接收器程序SNMP管理器引擎调度程序消息处理子系统安全子系统 SNMP体系结构 22 SNMP体系结构 典型SNMP代理命令响应器应用程序通知始发器应用程序代理转发器应用程序代理引擎调度程序消息处理子系统安全子系统 USM 访问控制子系统 VACM 23 1 SNMPv3调度程序 对于传出的PDU 调度程序从应用程序接收PDU 对每个PDU 调度程序确定消息处理需要的类型 v1 v2或v3 传送给消息处理子系统中合适的处理模块 消息处理子系统返回一条包含了该PDU和正确消息报头的消息 调度程序把消息映像到传输层对传入的消息 调度程序把它发送给合适的消息处理模块 消息处理子系统返回在该条消息中获得的PDU 调度程序把其送给合适的应用程序 24 2 SNMPv3消息处理模型 负责从调度程序接收PDU 封装进消息 调用USM在消息报头插入安全相关的参数接收传来的消息 调用USM处理消息报头的安全相关参数 对调度程序分配封装的PDU 25 3 SNMPv3用户安全模型 基于用户的安全模型USM提供了身份认证和保密服务USM设计是为了防范以下主要威胁 信息的修改伪装消息流修改泄密USM不能防范以下两种威胁 拒绝服务通信分析 26 3 SNMPv3用户安全模型 USMprivKey和authKey认证 使用HMAC MD5 96或HMAC SHA 96加密 使用DESCBC模式 27 HMAC 回顾 28 MD5描述 Merkle于1989年提出hashfunction模型RonRivest于1990年提出MD41992年 RonRivest完成MD5 RFC1321 在最近数年之前 MD5是最主要的hash算法现行美国标准SHA 1以MD5的前身MD4为基础 29 MD5描述 输入 任意长度的报文输入分组长度 512bit输出 128bit报文 30 安全散列函数 SHA SHA是美国NIST和NSA共同设计的安全散列算法 SecureHashAlgorithm 用于数字签名标准DSS DigitalSignatureStandard SHA 1于1995年发布SHA 1的输入 长度小于264位的消息输出 160位的消息摘要 31 3 SNMPv3用户安全模型 USMHMAC MD5 96 算法生成128位的输出 被截成96位HMAC SHA 96 算法生成160位的输出 被截成96位 32 密码分组链接 回顾 33 3 SNMPv3用户安全模型 USM使用DES中的CBC加密 16字节的PrivKey输入前8个字节作为DES的密钥 每个8位位组的最低位被忽略CBC模式需要一个64位的IV PrivKey的最后8个字节用于生成这个IV 34 3 SNMPv3用户安全模型 USM时限机制防止消息延迟和消息重放只有在消息使用了身份认证服务 并通过认证后才使用同步操作或时限的检查 要确认参数值是正确的时间窗口的限制 根据给定时钟的精确性 来回的通信延迟和时钟用来同步的频率来确定窗口大小 msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgAuthoritativeEngineID contextEngineID contextName PDU 消息处理模型生成或处理 用户安全模型 USM 生成或处理 限定范围的PDU 明文或加密的 加密的作用域 认证的作用域 使用USM的SNMPv3消息格式 36 4 SNMPv3访问控制模型 VACM基于视图的访问控制模式特征VACM确定是否允许远程主体对本地MIB中管理对象的访问VACM使用MIB来定义对该代理的访问策略 访问策略可以远程配置 37 4 SNMPv3访问控制模型 VACM的元素组 安全级别 上下文 MIB视图 访问策略组 由多个元组组成 给定组的所有主体的访问权力是一样的安全级别 组的访问权力不同 取决于包含请求的消息的安全级别 例如 对于某些敏感对象 代理也许要求其请求和其应答都通过私有服务进行通信 38 4 SNMPv3访问控制模型 VACM的元素组 安全级别 上下文 MIB视图 访问策略MIB上下文是MIB中实例对象的命名子集 特征 由contextEngineID唯一标识的SNMP实体 可以保留多个上下文对象或对象实例可能出现在多个上下文中存在多个上下文时 为了标识单个对象实例 除了其对象实例和类型外 还必须标识contextName和contextEngineID 39 4 SNMPv3访问控制模型 VACM的元素组 安全级别 上下文 MIB视图 访问策略MIB视图MIB视图根据集合或系列或子树的概念定义 每个子树或者包含在视图之内或者排斥在视图之外子树是在MIB命名层次中的节点 并加上其所有下属元素每次进入vacmAccessTable相关的是3个MIB视图 分别对应于